13.1 Hva er hendelser og avvik?
Hendelser og avvik er nær beslektet, men avvik reguleres blant annet av personopplysningsloven. Avvik skal i noen tilfeller rapporteres til Datatilsynet.
Det er viktig at USIT og rett instans ved UiO får beskjed når det skjer ting som kan ha betydning for informasjonssikkerheten. Dette kan være små hendelser som vekker mistanke om at noe ikke er helt som det skal med en datamaskin, en brukerkonto eller en arbeidsrutine, til lekkasje av viktig informasjon eller tap av viktige data.
Alle IT-sikkerhetshendelser regnes som interessante ut fra hensynet til informasjonssikkerhet. Igjen kan dette være alt fra store datainnbrudd til mistanke om at et forskningsprosjekt ikke lagrer data på rett sted. Man kan godt si at noen IT-sikkerhetshendelser kan føre til avvik.
Det kan gjøres grove inndelinger i ulike typer avvik, uten at dette er skarpe skiller. Eksempler kan være
- IT-sikkerhetshendelser og tilhørende potensielle avvik.
- Rene IT-sikkerhetshendelser
- IT-sikkerhetshendelser som har konsekvenser for informasjonssikkerheten
- Avvik i håndtering av personopplysninger eller sensitive personopplysninger i administrative IT-systemer.
- Avvik i håndtering av personopplysninger eller sensitive personopplysninger i forskning eller undervisning.
13.2 Ansvar
Universitetsdirektøren er overordnet ansvarlig for håndtering av avvik ved UiO. USIT er gitt ansvaret for å implementere og drifte verktøy for å oppdage avvik i IT-systemene ved UiO, utforming av standardprosedyrer for håndtering av disse, og håndtering av oppgaver (inklusive delegasjon) i forhold til oppdagede eller mistenkte avvik.
Ansvaret for å implementere prosedyrer og verktøy for å oppdage og håndtere avvik påhviler enhver enhet og enhver bruker av informasjonssystemene ved UiO.
13.3 Varsling
Alle ansatte og studenter ved universitetet har et felles ansvar for å varsle dersom det foreligger mistanke om at noe kan ha skjedd som påvirker informasjonssikkerheten.
Sikkerhetsbrudd og bruk av informasjonssystemene i strid med fastlagte rutiner skal behandles som avvik og rapporteres i tråd med bestemmelser for avvikshåndtering. Varsling skal skje etter gjeldende rutine for håndtering av avvik.
13.4 Håndtering
UiO-CERT og utøver av behandleransvaret ved UiO vil behandle henvendelser og om nødvendig samarbeide med, og varsle videre til, andre enheter.
- USIT
- IT-organisasjonen
- Politi og påtalemyndighet
- Datatilsynet
- Universitetets personvernombud
- Universitetsdirektør og eventuelt andre fagdirektører
- Helsetilsynet
- Rettighetsinnehavere
- Involverte brukere, studenter, ansatte og forskere
13.5 Universitetets CERT-gruppe, UiO-CERT
UiO-CERT er organisert på USIT. Den er oppnevnt av og har sitt mandat fra IT-direktøren. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen.
I tillegg til lederen består UiO-CERT av personell fra driftsgruppene på USIT.
UiO-CERT skal varsles umiddelbart ved mistanke om IT-sikkerhetshendelser. Forholdsregler ved slik mistanke skal være enkelt tilgjengelig for lokale IT-ansvarlige og brukere på universitetet. UiO-CERT har ansvar for følgende:
- Evaluere sikkerhetshendelsen
- Sørge for varsling av berørte parter
- Kartlegge konsekvenser
- Iverksette tiltak for å begrense eventuelle skader som følge av hendelsen
- Sikre eventuelle bevis og rydde opp i etterkant
- Rapportere hendelsen til IT-sikkerhetssjefen
- Foreslå tiltak for å redusere eller eliminere risiko for at tilsvarende hendelser skal opptre i framtida
- Bistå ved sikkerhets- og sårbarhetsvurderinger av systemer og dokumenteringen av disse
- Arbeide for større forståelse for IT-sikkerhetsarbeidet og initiere opplærings- og informasjonstiltak
Avvik ved behandling av personopplysninger